A Microsoft a héten jelentette, hogy digitális bűnesetekre szakosodott egysége az amerikai Szövetségi Nyomozó Hivatal (Federal Bureau of Investigation, FBI) és az Europol Európai Kiberbűnözések Központja (Europol’s European Cybercrime Centre, EC3) valamint nemzetközi partnereik sikeresen lefejezték a ZeroAccess robothálózatot.

Az igen kellemetlen káros szoftvert a Black Hole Exploit Kit terjeszti, és csak novemberben több mint 83 ezer fertőzött számítógépet észlelt a Microsoft Malware Protection Center, amely szerint komoly fenyegetést jelent a felhasználók számára. A Necurs számtalan lehetőséggel bír: képes elrejteni a komponenseit a felfedezés elől, egyéb káros szoftvereket letölteni, kikapcsolni számos biztonsági programot és hátsó kaput (backdoor) telepíteni, amelyen keresztül a távoli támadó képes átvenni a vezérlést a rendszer felett, hogy spam-et küldjön róla, monitorozza a felhasználó tevékenységét, stb. A Necurs komoly lépéseket tesz azért, hogy észrevétlen maradjon, és rendszeresen frissíti magát, hogy az újabb antivírus programok se tudják felfedezni a jelenlétét.

A nagy szervezetekbe történő behatolás jól jövedelmez, így ez a legfontosabb motivációja a kifinomult rootkit technikák fejlesztésének és felhasználásának, amivel a támadók biztosítani tudják a folyamatos jelenlétüket a feltört hálózaton. Az ilyen típusú támadások rejtőzködő természete miatt az áldozattá vált vállalatok komoly kihívásokkal néznek szembe, amikor meg akarják tisztítani a rendszereiket a fertőzésektől. Bár sok megközelítés létezik a fenyegetések felszámolására, az olyan hátrányok mind a szignatúra generálása, teljesítmény problémák vagy éppen a lefedettség miatt egyik sem válhatott ideális megoldássá. Az alábbi tanulmányban bemutatjuk a hasonló számítógépek csoportjaiban működő Blacksheep rendszert, amely egy elosztott, rootkit felderítést végző szoftver.

Megújult a hírhedt TDL4 botnet még több borsot törve ezzel a cégek és a biztonsági szakemberek orra alá. A kutatók szerint a TDL4 által használt rootkitet részben újraírták, látszólag azzal a céllal, hogy a káros szoftvert nehezebb legyen felismerni és eltávolítani. Az Eset szakemberei szerint a készítők teljesen átszabták a kernel mód illesztőt és a felhasználó payload részt, hogy a program még észrevétlenebbül tudjon dolgozni. Az egyelőre a biztonsági kutatók számára sem világos, hogy az eredeti készítők írták át a programot a jobb eladhatóság reményében vagy egy másik bűnözői csoport tökéletesítette a káros szoftvert.

Biztonsági kutatók nemrégiben egy olyan rootkitet fedeztek fel, amely a számítógép BIOS-át támadja, így téve a fertőzést sokkal észrevehetetlenebbé és eltávolíthatatlanabbá, ráadásul így a merevlemez esetleges cseréje sem jelent megoldást. A Mebromi névre keresztelt rootkitet először egy kínai biztonsági cég fedezte fel miközben az szabadon terjedt a világhálón. Ezután más kutatók is beszerezték a káros szoftvert és így sikerült annak működését elemezni. A Webroot analízise szerint a kártékony csomag öt részből tevődik össze, tartalmaz egy BIOS rootkitet, egy MBR rootkitet, egy kernel mode rootkitet, egy PE fájl fertőzőt és egy trójai letöltőt.

Egy, az AVAST Virus Lab által készített tanulmány szerint a frissítetlen Windows XP kalózverziók ideális célpontjai a rootkit fertőzéseknek. A tanulmány szerint a összes rootkit fertőzés több, mint 62%-ért a Master Boot Record-on (MBR) keresztüli fertőzés a felelős. Ezzel szemben a driver-ekkel történő fertőzések mindössze 27%-ot tesznek ki. A rootkit-ek között egyébként az egyértelmű első helyezett az Alureon rootkit (TDL4/TDL3) család, amely a fertőzések 74%-ért felelős.

A Kaspersky Lab Security szakemberei felfedeztek egy új rootkitet 64-bites Windows "támogatással". A rootkit a Banker rootkit egy új variánsa, amely főleg brazil ügyfelek banki belépési adatait igyekszik ellopni. A káros szoftver a Java egy elavult verziójának biztonsági résén keresztül jut a rendszerbe, majd első lépésként kikapcsolja a Windows User Account Control (UAC) szolgáltatást, így megszakítás nélkül tevékenykedhet.

Az RKAnalyzer egy olyan kernel szintű rootkit elemző és védekező eszköz, amely a BitVisor Project-et alapul véve használ hardver virtualizációs technikákat. A program megfigyeli és naplózza a kernel szintű rootkit tevékenységeket. Ami az RKAnalyzert megkülönbözteti a többi klasszikus felismerő szoftvertől, mint a Rootkit Revealer vagy az IceSword, az az, hogy az RKAnalyzer képes megelőzni a rootkit lépéseit, vagy akár reagálni azokra akkor is, ha a rendszer már fertőzött.

A káros szoftver fejlesztők új rejtőzködési technikát dolgoztak ki, rootkitjeik elrejtésére. Michael Kassner egy szakértővel készített interjút, aki elmagyarázza, néhány rootkit hogyan hamisítja a memóriát, hogy félrevezesse az antimalware programokat.

Egy igazi Cisco információs "kincsesbánya" nyújt segítséget alapvető IOS parancsok felkutatásában és megismerésében, egészen a rootkitek és utóelemzési technikák bemutatásáig.